安全日志分析 SIEM

日志易安全事件分析平台基于日志以及流量数据的采集、分析以及存储，提供了安全态势、威胁处置、调查分析、资产管理、漏洞管理、配置中心、规则管理、任务管理、情报管理等功能模块。

企业安全新挑战

• 综合分析能力薄弱，告警降噪能力不足

• 联动处理自动化不足，告警结果未与安全设备形成联动

• 新技术、新架构覆盖范围和检测技术不足，如容器、微服务

• 资产信息不完善，未能与攻击信息自动关联

• 内网防护策略不足，横向渗透风险高

• 日志处理能力不足，海量日志溯源效率低，未能做到全攻击链日志采集

解决方案

• 全方位日志采集

百万级EPS日志流处理能力，PB级秒级日志溯源跟踪能力。全面采集安全设备、网络设备、中间件、操作系统、数据库、应用等日志，兼容容器化、微服务等新型技术。

• 流量异常检测（NTA）

支持对主流的应用、网络协议进行采集和解析，发现各类网络威胁。

• 统一威胁处置

内置WEB安全、主机安全、合规安全等8大类常见的复杂事件处理检测规则，自动关联资产、漏洞，并可对告警配置工单任务和阻断动作。

• 端点进程取证

结合Linux、Windows系统日志，分析其异常进程、异常账号变更、异常登录等。

• 调查取证

将威胁告警和异常事件映射到时间维度，提供分析事件之间前因后果关系的能力。以威胁告警为入口对攻击链进行溯源，并通过递进的关联分析发现横向扩展的行为。

方案优势

	高性能自研搜索引擎 底层采用拥有自主知识产权的搜索分析引擎，安全可控，每天处理数百TB新增日志量。
灵活的关联分析 自研的SPL（Search Processing Language）搜索处理语言，支持数百种函数、指令，通过对不同时间段、不同类型的数据进行对比关联分析，发现新的威胁及异常。
	强大的实时计算能力 提供实时流式计算框架，支持根据不同的安全场景（聚合、关联等），实时对数据进行分析、计算，支持分布式部署。